CertUtil.exe на Windows XP & ЦС на Windows Server 2012 R2 - 0x80094011 - Имеющиеся разрешения для центра сертификации не позволяют текущему пользователю получать сертификаты

imageИз исходных данных имеем - автономный Центр сертификации (ЦС) на базе Windows Server 2012 R2 и клиентский компьютер на базе Windows XP SP3, с которого выполняется попытка получения корневого сертификата ЦС с помощью утилиты CertUtil.exe (из состава Windows Server 2003 Administration Tools Pack). В результате получаем ошибку:

0x80094011 (-2146877423) Имеющиеся разрешения для центра сертификации не позволяют текущему пользователю получать сертификаты

image

Описание причины такого поведения можно найти в документе TechNet Library - Windows Server 2012 R2 and Windows Server 2012 - What's New in Certificate Services in Windows Server

Для решения проблемы в указанном документе предлагается два варианта :
1. Заменить на клиентских компьютерах с Windows XP ОС на более новую.
2. Понизить уровень безопасности ЦС для поддержки клиентов на базе Windows XP.

Первый вариант приемлем далеко не во всех случаях (по разного рода причинам).
Для реализации второго варианта на сервере ЦС нужно выполнить команду:

certutil -setreg CA\InterfaceFlags -IF_ENFORCEENCRYPTICERTREQUEST

image

После этого следует перезапустить службу сертификации Active Directory Certificate Services service

net stop certsvc & net start certsvc

В результате запрос с клиента под управлением Windows XP должен отработать успешно…

image

В дальнейшем, когда станет возможной реализация варианта #1, вернуть обратно настройки ЦС можно следующим образом:

certutil -setreg CA\InterfaceFlags +IF_ENFORCEENCRYPTICERTREQUEST
net stop certsvc & net start certsvc

Дополнительная информация:

TechNet Forums - Windows Server 2012 CA will not allow Windows XP to autoenroll

Добавить комментарий